LE Zertifikate manuell erneuern [GELÖST]

[Padaru]

Grüße euch,

ich habe seit einigen Tagen das Problem, dass die Seiten auf meinem Server mal mit gültigem und mal mit abgelaufenen Zertifikat aufgerufen werden. Das Verhalten kann ich auch mit unterschiedlichen Browsers nachstellen.

Nun wollte ich einfach mal neue Zertifikate erstellen lassen, dafür habe ich den

Code: Select all

/etc/ssl/keyhelp/letsencrypt/

einfach mal umbenannt und von KH neu erstellen lassen. Leider habe ich immer noch das gleiche verhalten.

Der Certbot kann ich leider nicht finden, kann mir jemand sagen wo ich den certbot finden kann um einfach ein

Code: Select all

certbot renew

ausführen zu können?

[Alexander]

KeyHelp benutzt den Certbot nicht, sondern eigenen Programmcode um Let's-Encrypt-Zertifikate zu beziehen.

Nachdem du den Ordner umbenannt hast, bezieht KeyHelp die Zertifikate komplett neu. Jetzt kann es natürlich sein, das zwar die Zertifikate ordnungsgemäß bezogen wurden, dein Apache aber aufgrund eines Fehlers einer anderen Domain nicht neu geladen werden kann.

Führe einmal:

Code: Select all

apache2ctl configtest

aus.

Gegebenenfalls führe danach (sofern Syntax okay) einmal ein

Code: Select all

service apache2 restart

aus.

Sollte das o.g. nicht schon die Ursache sein, einmal den Browsercache komplett leeren und Browser neu starten.

Zum Überprüfen deiner Domain kannst du auch den folgenden Test zu Rate ziehen.
https://www.ssllabs.com/ssltest/

Oder lokal:

Code: Select all

openssl  x509 -enddate -noout -in <PFAD_ZUM_PEM_FILE>

Um sicherzugehen: Die Domain, die du überprüfst, zeigt auch auf den Server, bei dem du den Let's-Encrypt-Ordner umbenannt hast?

[Padaru]

danke für die Antwort:)

auch das führte nicht zum erfolg, auf dem Server konnte ich die korrekte pem Datei finden, doch ssllabs und meine Browser fanden immer noch ab und an das falsche Zertifikat..

Ich habe noch mal ein apt update && apt upgrade drüber gejagt und den Server komplett neu gestartet. Das Problem kann ich jetzt nicht mehr nachstellen und ich finde immer das aktuelle Zertifikat..

Anscheinend hat er sich irgendwo verschlugt:(

Alexander vielen Dank für die schnelle Antwort!

[Tobi]

eigenen Programmcode

Hast du das komplett in PHP geschrieben?
Kannst du den entsprechende Quellcode als "Open Source" herausgeben?
Oder gibt es auf github / stackoverflow Beispiele?

Ich habe da was am Laufen, da könnte ich sowas gut gebrauchen

[Martin]

Hallo,

in seltenen Fällen konnten wir bereits beobachten das hier zwei Apacheprozesse liefen (ein Zombieapache). Dieser wurde mit einem apache2ctl restart nicht mit neugestartet und lief daher mit der alten Konfiguration (und altem oder keinem Zertifikat weiter)

Aufgefallen war dies nachdem nach einem apache2ctl stop weiterhin ein Apacheprozess lief, diesen mittels killall -9 apache2 beendet und dann apache2ctl start löste hier auch das Problem. Der Reboot bewirkt dies natürlich ebenso.

Eine Ursache für das Verhalten konnten wir so bisher leider nicht nachstellen, auch tritt dies nur äußerst selten auf.

[Padaru]

Hallo Martin,

ah ok, da achte ich mal darauf, sollte es Problem wieder auftreten. Das würde allerdings das verhalten erklären danke

[Martin]

Hallo,

wo ich das Problem das erste mal hatte musste ich auch einige Zeit suchen bis mir dies aufgefallen war